溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
AspNetCore WebApi認證與授權的方法?很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。
什么是Token
Token是服務端生成的一串字符串,以作客戶端進行請求的一個令牌,當第一次登錄后,服務器生成一個Token便將此Token返回給客戶端,以后客戶端只需帶上這個Token前來請求數據即可,無需再次帶上用戶名和密碼。
什么是JWT
Json web token (JWT),是為了在網絡應用環境間傳遞聲明而執行的一種基于JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用于分布式站點的單點登錄(SSO)場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息,以便于從資源服務器獲取資源,也可以增加一些額外的其它業務邏輯所必須的聲明信息,該token也可直接被用于認證,也可被加密。
JWT認證流程
從圖中可以看出主要有兩部分組成:1、獲取Token,2、通過Token進行授權。
使用JWT認證
首先,安裝JwtBearer包。
dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 3.1.0
接下來,定義一個配置類,我這里為了簡單直接用常量代替了,你也可以放在配置文件中。
public class TokenParameter
{
public const string Issuer = "深度碼農";//頒發者
public const string Audience = "深度碼農";//接收者
public const string Secret = "1234567812345678";//簽名秘鑰
public const int AccessExpiration = 30;//AccessToken過期時間(分鐘)
}接下來,定義一個通過用戶名和密碼,獲取Token的控制器。
[Route("api/oauth")]
[ApiController]
public class OAuthController : ControllerBase
{
/// <summary>
/// 獲取Token
/// </summary>
/// <returns></returns>
[HttpGet]
[Route("token")]
public ActionResult GetAccessToken(string username, string password)
{
//這兒在做用戶的帳號密碼校驗。我這兒略過了。
if (username != "admin" || password != "admin")
return BadRequest("Invalid Request");
var claims = new[]
{
new Claim(ClaimTypes.Name, username),
new Claim(ClaimTypes.Role, ""),
};
var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenParameter.Secret));
var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
var jwtToken = new JwtSecurityToken(TokenParameter.Issuer, TokenParameter.Audience, claims, expires: DateTime.UtcNow.AddMinutes(TokenParameter.AccessExpiration), signingCredentials: credentials);
var token = new JwtSecurityTokenHandler().WriteToken(jwtToken);
return Ok(token);
}
}接下來,添加Token身份認證到容器(Startup.ConfigureServices)。
services.AddAuthentication(x =>
{
x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(x =>
{
x.RequireHttpsMetadata = false;
x.SaveToken = true;
x.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,//是否調用對簽名securityToken的SecurityKey進行驗證
IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(TokenParameter.Secret)),//簽名秘鑰
ValidateIssuer = true,//是否驗證頒發者
ValidIssuer = TokenParameter.Issuer, //頒發者
ValidateAudience = true, //是否驗證接收者
ValidAudience = TokenParameter.Audience,//接收者
ValidateLifetime = true,//是否驗證失效時間
};
});接下來,添加身份認證到中間件(Startup.Configure)。
app.UseAuthentication();//必須在app.UseAuthorization();之前
接下來,控制器需要授權控制的添加[Authorize]。
[HttpGet("{id}")]
[Authorize]
public async Task<ActionResult<Todo>> GetTodo(Guid id)
{
var todo = await context.Todo.FindAsync(id);
if (todo == null)
{
return NotFound();
}
return todo;
}最后,我們測試一下接口,效果如下。
這時會返回401,因為身份認證沒有通過,說明身份驗證起效果了。
接下來我們訪問一下GetAccessToken接口,拿到Token,在訪問GetTodo接口時放入Token,我們可以看到訪問成功了。
看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
